La cyberattaque Sharpshooter liée à la Corée du Nord

Des chercheurs en sécurité informatique ont finalement, avec “grande confiance”, fait le lien entre l’Operation Sharpshooter, une campagne de cyber-espionnage globale qui ciblait les infrastructures critiques, et la Corée du Nord.

Tout cela grâce à de nouvelles preuves collectés par des chercheurs après avoir analysé un serveur command-and-control (C2) qui avait été saisi par les autorités car il était impliqué dans la campagne d’espionnage de Sharpshooter.

Surnommé Operation Sharpshooter, la campagne de cyber espionnage ciblait les gouvernements, leurs défenses, leurs projets nucléaires, leurs infrastructures d’énergie et des organisations financières dans le monde entier. La campagne a été découverte en Décembre 2018 par les chercheurs en sécurité de McAfee. Même après avoir analysé plusieurs liens pointant vers le groupe de hacker Lazarus, les chercheurs n’étaient pas sûrs à 100% que l’attaque venait de la Corée du Nord.

Les chercheurs ont analysé le serveur de commande de Sharpshooter

Selon un communiqué de presse, une analyse récente du code saisi et du serveur command-and-control (C2) ont permis aux chercheurs de comprendre les rouages de cette campagne de cyber espionnage. Ils ont ainsi pu conclure qu’un groupe de pirates informatique sponsorisé par la Corée du Nord était derrière l’Operation Sharpshooter.

Le Groupe Lazarus, aussi connu sous le nom de Hidden Cobra et Guardians of Peace, est suspecté de travailler pour le gouvernement Nord Coréen et d’avoir aussi été derrière l’attaque WannaCry en 2017, le piratage de SWIFT en 2016 ainsi que le piratage de Sony Pictures en 2014.

L’analyse de Sharpshooter révèle aussi que la campagne d’espionnage globale a commencé au mois de Septembre 2017.

Alors que les précédentes attaques ciblaient les télécommunications, les gouvernements et les secteurs financiers, les nouvelles preuves suggèrent que Sharpshooter s’attaque aussi aux infrastructures critiques. Les récentes attaques ciblaient l’Allemagne, la Turquie, les Etats-Unis et le Royaume-Uni.

Opération Sharpshooter: Campagne de Cyber Espionnage Global

La campagne d’infection se répand via Dropbox en envoyant des documents malveillants contenant des macros aux cibles. Une fois ouverte et téléchargé, la macro utilise un script shell intégré pour injecter le téléchargeur de Sharpshooter dans la mémoire de Microsoft Word.

sharpshooter

Pour aller plus loin, ce code dans la mémoire télécharge le malware Rising Sun, qui utilise du code source de la porte dérobée Trojan Duuzer du Groupe Lazarus. Le malware avait été découvert pour la première fois en 2015 alors qu’il ciblait des organisations de Corée du Sud.

Le malware Rising Sun fait ensuite une reconnaissance sur le réseau de la victime en récoltant et en chiffrant des données, y compris le nom du PC, l’adresse IP, les informations systèmes etc…

“L’accès au code du serveur command-and-control de l’adversaire est une opportunité rare. Ces systèmes permettent de comprendre le fonctionnement interne de l’infrastructure d’une cyber attaque. D’habitude ils sont saisis par les autorités et sont rarement mis à disposition des chercheurs du secteur privé,” a déclaré Christiaan Beek, ingénieur chez McAfee.

“Les éléments obtenus grâce à l’accès à ce code sont indispensables quand on essaye de comprendre et de combattre les campagnes de cyber attaque sophistiquées que l’on peut voir de nos jours.”

De plus, l’analyse du serveur command-and-control (C2) et du fichier de logs ont révélé une connexion Africaine. Les chercheurs sont tombés sur des adresses IP liées à la Namibie.

“Cela a mené les analystes de McAfee à suspecter que les acteurs derrière Sharpshooter ont surement fait quelques tests dans cette partie du monde avant de lancer leur campagne d’attaques,” ont expliqué les chercheurs.

L’infrastructure C2 utilisée par Sharpshooter fait partie des opérations de Lazarus depuis 2017. Cette infrastructure a un noyau backend écrit en Hypertext Preprocessor (PHP) et Active Server Pages (ASP), qui “semblerait être unique au groupe”.

Si cet article vous a plu, jetez un œil à notre article précédent.